image

Honderden webwinkels via kwetsbare plug-in besmet met malware

donderdag 10 februari 2022, 09:45 door Redactie, 9 reacties

Onderzoekers hebben honderden webwinkels ontdekt die via een kwetsbare plug-in besmet zijn geraakt met malware die creditcardgegevens van klanten steelt. Daarnaast blijkt dat de webshops niet alleen een kwetsbare plug-in gebruiken, maar ook op webwinkelsoftware draaien die al ruim anderhalf jaar niet meer wordt ondersteund. Dat meldt securitybedrijf Sansec op basis van eigen onderzoek.

De webwinkels in kwestie maken gebruik van Magento, populaire software waarop honderdduizenden webshops draaien. De eerste versie van Magento wordt sinds juni 2020 niet meer ondersteund, waardoor ontdekte beveiligingslekken geen updates meer krijgen. Sansec ontdekte vorige meer dan vijfhonderd webwinkels, draaiend op Magento 1, die met malware waren geïnfecteerd. De cijfers worden bevestigd door anti-malwarebedrijf Malwarebytes.

De malware steelt creditcardgegevens en andere klantdata die klanten op de betaalpagina invoeren. Verder onderzoek wees uit dat de aanvallers gebruikmaakten van een kwetsbaarheid in een plug-in genaamd Quickview. Deze plug-in laat klanten producten bekijken zonder de betreffende productpagina te openen. Via het beveiligingslek in de plug-in is het mogelijk om malafide Magento-beheerders aan de webshop toe te voegen, maar kan er ook code direct op de onderliggende server van de webwinkel worden uitgevoerd.

Naast het toevoegen van malafide code aan de betaalpagina van de webwinkel die allerlei klantgegevens buitmaakt voegen de aanvallers ook een backdoor toe om toegang tot de webshop te behouden. Bij één webshop installeerde de aanvaller zelfs negentien backdoors, aldus de onderzoekers. Die merken op dat nog altijd duizenden webwinkels van Magento 1 gebruikmaken.

Image

Reacties (9)
10-02-2022, 10:16 door [Account Verwijderd]
Als ik een - laat ik het maar zo noemen: fysieke winkel binnenga mag ik toch verwachten dat het verlaagd plafond niet bovenop mij valt omdat de plafondankers metaalmoe zijn.

Webwinkels trachten zich te onderscheiden van de winkelstraat door het z.g. gemak: je hoeft je deur niet uit.
Dit soort berichtgevingen: gewoonweg te beroerd om te updaten naar een Magento versie die is gepatcht; dus veilig, is té treurig voor woorden.
10-02-2022, 11:15 door Anoniem
Voor wie denkt dat Log4Shell een unieke situatie was: nee, dat was het niet. Het was bijzonder vanwege de grootte van de impact, maar de reden waarom Log4Shell kon ontstaan zien we hier ook. Externe libraries / onderdelen die een softwareproject worden binnengetrokken zonder dat we kritisch kijken naar de betrouwbaarheid en veiligheid van die libraries. Zag zojuist wederom iets over een kwetsbare plugin voor Wordpress op deze website voorbij komen. We moeten echt veiligere software gaan ontwikkelen. Ontwikkelaars moeten betere code schrijven en managers moeten ontwikkelaars meer tijd en ruimte geven om veilige software te kunnen schijven. Kwaliteit kost nu eenmaal tijd en geld. Dat zullen we moeten gaan accepteren.
10-02-2022, 12:18 door soeperees
Dit soort berichtgevingen: gewoonweg te beroerd om te updaten naar een Magento versie die is gepatcht; dus veilig, is té treurig voor woorden.

Magento even "updaten" is er helaas niet bij. Het is een draak van een pakket met een codebase om te janken zo slecht. Je zult een webwinkel volledig opnieuw moeten bouwen en dat "kost duur qua financieel geld". Verder heeft het pakket een historie van ernstige kwetsbaarheden en zeer belabberde support (patches komen laat).

Beter blijf je als bedrijf weg bij dit soort gedrochten van het Internet. Dat geldt trouwens ook voor Wordpress, hoewel de core een stuk beter valt te updaten.
10-02-2022, 13:11 door Anoniem
Door Anoniem: Voor wie denkt dat Log4Shell een unieke situatie was: nee, dat was het niet. Het was bijzonder vanwege de grootte van de impact, maar de reden waarom Log4Shell kon ontstaan zien we hier ook. Externe libraries / onderdelen die een softwareproject worden binnengetrokken zonder dat we kritisch kijken naar de betrouwbaarheid en veiligheid van die libraries. Zag zojuist wederom iets over een kwetsbare plugin voor Wordpress op deze website voorbij komen. We moeten echt veiligere software gaan ontwikkelen. Ontwikkelaars moeten betere code schrijven en managers moeten ontwikkelaars meer tijd en ruimte geven om veilige software te kunnen schijven. Kwaliteit kost nu eenmaal tijd en geld. Dat zullen we moeten gaan accepteren.
De software is gewoon bijgewerkt, wat we nodig hebben is dat bedrijven meer verantwoordelijkheid nemen voor het BIJHOUDEN van software die ze gebruiken, bij Log4J was het deels hetzelfde probleem: softwareleveranciers en gebruikers die oude versies bleven gebruiken terwijl er al gewoon updates beschikbaar waren.

Het gaat dus niet om betere code maar meer om beter management en meer verantwoordelijkheid van eindgebruikers.
10-02-2022, 14:01 door Anoniem
Ben erg benieuwd of dit ook in Nederland speelt. Gezien de meeste providers tegenwoordig wel iets van scanning doen, thuiswinkel.org dat misschien zelfs wel verplicht kan dit in NL best wel eens helemaal niet spelen.
10-02-2022, 14:11 door [Account Verwijderd]
Door soeperees:
Dit soort berichtgevingen: gewoonweg te beroerd om te updaten naar een Magento versie die is gepatcht; dus veilig, is té treurig voor woorden.

Magento even "updaten" is er helaas niet bij. Het is een draak van een pakket met een codebase om te janken zo slecht. Je zult een webwinkel volledig opnieuw moeten bouwen en dat "kost duur qua financieel geld". Verder heeft het pakket een historie van ernstige kwetsbaarheden en zeer belabberde support (patches komen laat).

Beter blijf je als bedrijf weg bij dit soort gedrochten van het Internet. Dat geldt trouwens ook voor Wordpress, hoewel de core een stuk beter valt te updaten.

@ soeperees,

Dank voor je toelichting, maar toch vind ik dat de door je aangedragen informatie geen verzachtende omstandigheid meebrengt.
Er zijn namelijk honderdduizenden webshops (sic) die wél draaien op een geüpdatet versie van Magento.
Als je om wat voor reden dan ook "kost duur qua financieel geld" laat prevaleren boven klantveiligheid heb ik daar geen goed woord voor over.

Magento is al eerder negatief in het nieuws geweest hier - weet niet meer zo goed wanneer - en dat is voor mij de reden geweest om zoveel als mogelijk weg te blijven van Internet shops want nergens kan ik bij bezoek achterhalen wat de ondersteunende software is van de betreffende webshop.

Het is treurig voor de webshops die zich wél inzetten voor de klantveiligheid, dat er rotte appels zitten tussen hun collega ondernemers die het niet zo nauw nemen met deze noodzakelijke veiligheid, want dit soort berichten doet deze tak van ondernemerschap eerder kwaad dan goed.

Zo jammer!
10-02-2022, 15:55 door Anoniem
Door Anton Bleekers:
Dank voor je toelichting, maar toch vind ik dat de door je aangedragen informatie geen verzachtende omstandigheid meebrengt.
Er zijn namelijk honderdduizenden webshops (sic) die wél draaien op een geüpdatet versie van Magento.
Als je om wat voor reden dan ook "kost duur qua financieel geld" laat prevaleren boven klantveiligheid heb ik daar geen goed woord voor over.

De harde realiteit is natuurlijk wel dat als er nieuwe soorten plafonds beschikbaar komen (het voorbeeld waar je zelf
mee kwam) die brandveiliger zijn, geen asbest meer bevatten, of dat soort belangrijke voordelen ook niet iedere fysieke
winkel meteen het oude plafond eruit trekt en vervangt door een nieuw.
Dat moet toch wachten tot de winkel weer eens geheel verbouwd en gemoderniseerd wordt.

Op diezelfde manier wordt een pakket wat bij updaten werk vereist ook niet voortdurend geupdate. Dat geldt echt
niet alleen voor een PHP-based website, dat geldt voor zoveel situaties. En als het niet duidelijk is wat security
updates zijn die je gerust kunt installeren en wat feature updates zijn die er voor zorgen dat bestaande constructies
niet meer werken en moeten worden aangepast, dan vergaat de lust van het updaten je wel.
(geen idee of dat ook geldt voor Magenta, maar dit is vrij gebruikelijk bijvoorbeeld bij OS updates)
10-02-2022, 18:02 door Anoniem
Scan bij Magereport https://www.magereport.com/
luntrus
11-02-2022, 22:53 door Anoniem
Zo maar een random website uit een 80 tal "outstanding Magento websites" uit 2021.
Toen dus in de "hall of fame" van de developer.

En dan krijgt men nu:
Outdated Magento version?EE 2.3.5 - 2.3.5-p2
Risk ratingHigh - This shows your current Magento version.
Magento releases security fixes periodically in all newer versions, after 1.4.0 (Community) and 1.10 (Enterprise).
Het kan dus snel verkeren met die uitstekendheid...

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.